هشدار اضطراری در ارتباط با آسیب‌پذیری‌های اخیر Microsoft Exchange

379

هشدار اضطراری در ارتباط با آسیب‌پذیری‌های اخیر Microsoft Exchange

شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روز-صفر را در نسخه‌های مختلف Microsoft Exchange ترمیم کرده است.

به گزارش آدفا،شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روز-صفر را در نسخه‌های مختلف Microsoft Exchange ترمیم کرده است. شواهد حاکی از آن است که مهاجمان در حال اکسپلویت کردن این آسیب‌پذیری‌ها هستند. سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند.
در این راستا اقدامات زیر توصیه می‌شود:
۱.    جدا سازی موقت سرورهای Exchange از شبکه
۲.    بررسی فارنزیکی سرورهای Exchange

۲,۱.    بررسی شواهد نفوذ زیر

•    درخواست‌های HTTP POST به مسیرهای زیر

    /owa/auth/Current/themes/resources/logon.css

    /owa/auth/Current/themes/resources/owafont_ja.css

    /owa/auth/Current/themes/resources/lgnbotl.gif

    /owa/auth/Current/themes/resources/owafont_ko.css

    /owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot

    /owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf

    /owa/auth/Current/themes/resources/lgnbotl.gif


•    وجود رشته‌ای شبیه عبارت زیر در لاگ‌های ECP (مسیر <exchange install path>\Logging\ECP\Server\)

    S:CMD=Set-OabVirtualDirectory.ExternalUrl=’


•    وجود فایل‌های aspx. در مسیرهای زیر (وب شل)

    \inetpub\wwwroot\aspnet_client\ (any .aspx file under this folder or sub folders)

    \<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (any file besides TimeoutLogoff.aspx)

    \<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (any file or modified file that is not part of a standard install)

    \<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ (any aspx file in this folder or subfolders)

    \<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ (any aspx file in this folder or subfolders)

•    وجود User-Agentهای زیر در لاگ درخواست به فایل‌های مسیر‌ /owa/auth/Current

    DuckDuckBot/۱,۰;+(+http://duckduckgo.com/duckduckbot.html)

    facebookexternalhit/۱,۱+(+http://www.facebook.com/externalhit_uatext.php)

    Mozilla/۵,۰+(compatible;+Baiduspider/۲.۰;++http://www.baidu.com/search/spider.html)

    Mozilla/۵,۰+(compatible;+Bingbot/۲.۰;++http://www.bing.com/bingbot.htm)

    Mozilla/۵,۰+(compatible;+Googlebot/۲.۱;++http://www.google.com/bot.html

    Mozilla/۵,۰+(compatible;+Konqueror/۳.۵;+Linux)+KHTML/۳.۵.۵+(like+Gecko)+(Exabot-Thumbnails)

    Mozilla/۵,۰+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)

    Mozilla/۵,۰+(compatible;+YandexBot/۳.۰;++http://yandex.com/bots)

    Mozilla/۵,۰+(X۱۱;+Linux+x۸۶_۶۴)+AppleWebKit/۵۳۷.۳۶+(KHTML,+like+Gecko)+Chrome/۵۱.۰.۲۷۰۴.۱۰۳+Safari/۵۳۷.۳۶

•    وجود User-Agentهای زیر در لاگ درخواست به فایل‌های مسیر‌ /ecp/

    ExchangeServicesClient/۰,۰.۰.۰

    python-requests/۲,۱۹.۱

    python-requests/۲,۲۵.۱

•    وجود User-Agentهای زیر در لاگ‌های درخواست وب (برای ارتباط با وب‌شل)

    antSword/v۲,۱

    Googlebot/۲,۱+(+http://www.googlebot.com/bot.html)

    Mozilla/۵,۰+(compatible;+Baiduspider/۲.۰;++http://www.baidu.com/search/spider.html)


•    وجود عبارات زیر در لاگ‌های IIS برای authentication bypass و RCE

    POST /owa/auth/Current/

    POST /ecp/default.flt

    POST /ecp/main.css

    POST /ecp/<single char>.js

•    وجود ارتباطات شبکه‌ای با IPهای مهاجمین

    ۱۰۳,۷۷.۱۹۲[.]۲۱۹

    ۱۰۴,۱۴۰.۱۱۴[.]۱۱۰

    ۱۰۴,۲۵۰.۱۹۱[.]۱۱۰

    ۱۰۸,۶۱.۲۴۶[.]۵۶

    ۱۴۹,۲۸.۱۴[.]۱۶۳

    ۱۵۷,۲۳۰.۲۲۱[.]۱۹۸

    ۱۶۷,۹۹.۱۶۸[.]۲۵۱

    ۱۸۵,۲۵۰.۱۵۱[.]۷۲

    ۱۹۲,۸۱.۲۰۸[.]۱۶۹

    ۲۰۳,۱۶۰.۶۹[.]۶۶

    ۲۱۱,۵۶.۹۸[.]۱۴۶

    ۵,۲۵۴.۴۳[.]۱۸

    ۵,۲.۶۹[.]۱۴

    ۸۰,۹۲.۲۰۵[.]۸۱

    ۹۱,۱۹۲.۱۰۳[.]۴۳

•    یکسان بودن هش صفحات وب با هش‌های زیر (وب شل) 

    b۷۵f۱۶۳ca۹b۹۲۴۰bf۴b۳۷ad۹۲bc۷۵۵۶b۴۰a۱۷e۲۷c۲b۸ed۵c۸۹۹۱۳۸۵fe۰۷d۱۷d۰

    ۰۹۷۵۴۹cf۷d۰f۷۶f۰d۹۹edf۸b۲d۹۱c۶۰۹۷۷fd۶a۹۶e۴b۸c۳c۹۴b۰b۱۷۳۳dc۰۲۶d۳e

    ۲b۶f۱ebb۲۲۰۸e۹۳ade۴a۶۴۲۴۵۵۵d۶a۸۳۴۱fd۶d۹f۶۰c۲۵e۴۴afe۱۱۰۰۸f۵c۱aad۱

    ۶۵۱۴۹e۰۳۶fff۰۶۰۲۶d۸۰ac۹ad۴d۱۵۶۳۳۲۸۲۲dc۹۳۱۴۲cf۱a۱۲۲b۱۸۴۱ec۸de۳۴b۵

    ۵۱۱df۰e۲df۹bfa۵۵۲۱b۵۸۸cc۴bb۵f۸c۵a۳۲۱۸۰۱b۸۰۳۳۹۴ebc۴۹۳db۱ef۳c۷۸fa۱

    ۴edc۷۷۷۰۴۶۴a۱۴f۵۴d۱۷f۳۶dc۹d۰fe۸۵۴f۶۸b۳۴۶b۲۷b۳۵a۶f۵۸۳۹adf۱f۱۳f۸ea

    ۸۱۱۱۵۷f۹c۷۰۰۳ba۸d۱۷b۴۵eb۳cf۰۹bef۲cecd۲۷۰۱cedb۶۷۵۲۷۴۹۴۹۲۹۶a۶a۱۸۳d

    ۱۶۳۱a۹۰eb۵۳۹۵c۴e۱۹c۷dbcbf۶۱۱bbe۶۴۴۴ff۳۱۲eb۷۹۳۷e۲۸۶e۴۶۳۷cb۹e۷۲۹۴۴


۲,۲.    بررسی سایر شواهد وجود وب شل به کمک کتابچه شکار وب شل

https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۸۹۰/


۳.    گزارش حادثه به مرکز افتا در صورت وجود شواهد نفوذ

۳,۱.    پست الکترونیک: cert@afta.gov.ir

۴.    اعمال وصله‌‌های ارائه شده توسط مایکروسافت بر روی سرورهای Exchange و اتصال سرورها به شبکه در صورت عدم وجود شواهد نفوذ
۵.    بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه به جهت کشف شواهد Lateral Movement احتمالی

۵,۱.    لاگ‌های آنتی ویروس
۵,۲.    لاگ اجرای پاورشل‌های مشکوک
۵,۳.    نصب سرویس‌های مشکوک همچون PsExec
۵,۴.    و …


برای دریافت اطلاعات بیشتر به لینک‌های زیر مراجعه کنید:

https://www.microsoft.com/security/blog/۲۰۲۱/۰۳/۰۲/hafnium-targeting-exchange-servers/
https://www.volexity.com/blog/۲۰۲۱/۰۳/۰۲/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
https://us-cert.cisa.gov/ncas/alerts/aa۲۱-۰۶۲a
https://www.fireeye.com/blog/threat-research/۲۰۲۱/۰۳/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
https://attackerkb.com/topics/Sw۸H۰fbJ۹O/multiple-microsoft-exchange-zero-day-vulnerabilities—hafnium-campaign?referrer=blog#rapid۷-analysis
https://blog.rapid۷.com/۲۰۲۱/۰۳/۰۳/rapid۷s-insightidr-enables-detection-and-response-to-microsoft-exchange-۰-day/
https://blog.paloaltonetworks.com/security-operations/attacks-targeting-microsoft-exchange/

پاسخی بگذارید

آدرس ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *